Artikelformat

Vserver als sicheres wlan-Gateway

Heute gibt es mal einen nicht-PHP Beitrag. Ich bin oftmals bei Kunden vor Ort und übernachte daher im Hotel. Für gewöhnlich hat man dort einen Wlan-Zugang der meist zwar gratis aber richtig offen ist. Das ist nicht so toll, wenn man bspw einen Blog-Beitrag schreiben möchte. Also sollte man sicher gehen, dass die übrigen Gäste nicht den gesamten Datentransfer mitschneiden und lesen. Ja man kann Verbindungen mit SSL schützen, aber ich traue der Sache nicht genügend, um mich dadurch sicher zu fühlen. Also habe ich einen Vserver (die kosten ja fast nix, da kann man ja immer 3-4 zur Hand haben) der mir als Gateway ins Netz dient.

Um die Verbindung zum Server aufzubauen nutze ich openvpn. Das schützt – wie ich finde – die Verbindung recht gut, ist für viele Plattformen verfügbar und relativ schnell installiert. Man muss aber darauf vertrauen, dass der Vserver ein tun Device anbietet. Dies ist nicht immer gegeben, wird aber auf Anfrage vom Anbieter schnell nachgerüstet.
Der spannende Punkt ist, wie man nun ins Netz kommt mit einer solchen Konstruktion. Eigentlich ist die Geschichte richtig einfach und das Zauberwort ist NAT (Network Address Translation) oder genauer IP Masquerading. Zuhause werden die meisten Leuten dies mehr oder weniger bewusst nutzen, nämlich wenn man einen Router einsetzt, der von den ISPs zur Verfügung gestellt wird. Und genau das Verhalten kann man sich selbst basteln. Die Software dafür bringt eine Linuxdistribution eigentlich schon gleich mit. Nämlich IP-forwarding im Kernel und iptables zur Manipulation des Datenstroms und dann sind es noch 3 Zeilen, die ich in meine rc.local eingetragen habe.

1
2
3
iptables -t nat -F POSTROUTING
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o venet0 -s 10.1.0.0/24 -j MASQUERADE

Und schon funktioniert der Zugang ins Netz über den Vserver. Natürlich muss die IP-Range des VPNs auf den eigenen Bereich angepasst werden. Und man sollte das Netzwerk-Interface entsprechend eintragen. Bei einem echten Rootserver wird es eher etwas wie eth0 sein. Nachteil an diesem Verfahren ist, dass die Geräte im VPN von außen nicht direkt erreichbar sind und Verbindungen von „innen“ nach „außen“ aufgebaut sein müssen. Für das Surfen unterwegs ist das normal ausreichend. Im Notfall kann man sich aber den ein oder anderen Port über das Gateway weiterleiten. Auch dieses Verhalten kennt man von den Routern zuhause.

Falls ein Link zu einer Openvpn Anleitung benötigt wird, schreibt mir bitte in die Kommentare, dann füge ich diesen bei.

Schreibe einen Kommentar

Pflichtfelder sind mit * markiert.